NIS2-Compliance: Erste Prüfungen enden am 30. Juni – viele Lücken
26.06.2026 - 14:14:02 | boerse-global.de
Die ersten Prüfungstermine für die NIS2-Richtlinie rücken näher – und viele Unternehmen sind nicht ausreichend vorbereitet. Besonders beim Identitätsmanagement klaffen eklatante Lücken.
Neue Leitfäden für die technische Umsetzung
Am heutigen Freitag veröffentlichte die EU-Kommission einen Effizienzleitfaden zur NIS2-Compliance. Das Papier konzentriert sich auf die Risikomanagement-Anforderungen aus Artikel 21 der Richtlinie und hebt die Notwendigkeit von Multi-Faktor-Authentifizierung, Verschlüsselung und lückenlosen Prüfprotokollen hervor.
Der Zeitpunkt ist kein Zufall: Branchendaten aus dem Jahr 2025 zeigen, dass 34 Prozent der Organisationen in der Europäischen Union erhebliche Qualifikationsdefizite im Bereich Identity and Access Management (IAM) aufweisen. Ein alarmierender Wert, denn genau hier setzen die neuen Vorgaben an.
Bereits gestern erschien zudem eine Sicherheitscheckliste speziell für SAP-Systeme. Sie definiert vier kritische Bereiche: kontinuierliche Sicherheitsbewertungen, Patch-Management und die Implementierung von Funktionstrennungen. Das Dokument ist auf mehrere Regulierungsrahmen abgestimmt – neben NIS2 auch auf DORA und ISO 27001. Die Überschneidungen der Anforderungen nehmen zu.
Strenge Meldefristen und persönliche Haftung
Die NIS2-Richtlinie verlangt ein mehrstufiges Meldeverfahren bei Sicherheitsvorfällen. Unternehmen müssen innerhalb von 24 Stunden eine erste Frühwarnung abgeben, gefolgt von einer detaillierten Meldung nach 72 Stunden und einem umfassenden Abschlussbericht nach einem Monat.
Zum Vergleich: Die Digital Operational Resilience Act (DORA) schreibt eine Erstmeldung bereits vier Stunden nach Einstufung eines schwerwiegenden Vorfalls vor. Branchenexperten warnen, dass ein einziger Ransomware-Angriff gleichzeitig Meldepflichten nach NIS2, DORA und der DSGVO auslösen könnte. Einheitliche interne Reaktionsprotokolle sind daher unerlässlich.
Die neuen EU-Regulierungen stellen Unternehmen vor komplexe Dokumentationspflichten, bei denen Fehler teure Bußgelder nach sich ziehen können. Dieser kostenlose Ratgeber unterstützt Sie mit einer praxisnahen Excel-Vorlage dabei, Ihr Verarbeitungsverzeichnis effizient und rechtssicher zu erstellen. Kostenlose Muster-Vorlage und Schritt-für-Schritt-Anleitung jetzt gratis herunterladen
Die finanziellen Risiken sind beträchtlich. Für wesentliche Einrichtungen drohen Bußgelder von bis zu zehn Millionen Euro oder zwei Prozent des weltweiten Jahresumsatzes – der höhere Wert zählt. Für wichtige Einrichtungen liegen die Strafen bei maximal sieben Millionen Euro oder 1,4 Prozent des globalen Umsatzes.
Besonders brisant: Die Richtlinie führt eine persönliche Haftung der Geschäftsführung ein. Vorstände und Geschäftsführer haften künftig persönlich für die Umsetzung und Überwachung der Cybersicherheitsmaßnahmen. Das dürfte in vielen Aufsichtsräten für Unruhe sorgen.
Kosten und Fristen variieren stark
Die Kosten für die Umsetzung unterscheiden sich je nach Unternehmensgröße und Standort erheblich. In Ungarn beispielsweise, wo rund 3.800 Organisationen unter die Richtlinie fallen, rechnen kleine Unternehmen mit Erstkosten von etwa 15.000 Euro. Große Konzerne müssen dagegen mit Ausgaben von über 500.000 Euro kalkulieren.
Für wesentliche Einrichtungen in der Region laufen die ersten verpflichtenden Prüfungen am 30. Juni 2026 aus – also in nur vier Tagen. Die Vertragsabschlüsse dafür erfolgten bereits Ende August 2025.
Angesichts strenger Compliance-Vorgaben und drohender Haftungsrisiken für die Geschäftsführung ist ein fundierter Überblick über neue Gesetzgebungen unerlässlich. Sichern Sie sich diesen kostenlosen Umsetzungsleitfaden, um die Anforderungen an Risikoklassen und Dokumentationspflichten frühzeitig zu verstehen. EU AI Act in 5 Schritten verstehen: Fristen, Pflichten und Risikoklassen kompakt erklärt
Der Anwendungsbereich wächst stetig. Bereits am 13. Mai 2026 wurde das Cbw-Kontrollframework um spezifische Anforderungen für den Gesundheitssektor erweitert. Krankenhäuser und Pflegeeinrichtungen können damit ihre Cyber-Resilienz bewerten und die Einhaltung nationaler Gesetze überprüfen.
KI und Lieferketten als neue Risikofelder
Aktuelle Forschungsergebnisse zeigen, dass Unternehmen bei der Integration neuer Technologien unter dem NIS2-Rahmenwerk noch deutlich hinterherhinken. Ein Bericht vom gestrigen Donnerstag offenbart: 48 Prozent der deutschen Unternehmen setzen KI-Agenten ein, ohne ausreichende Kontrollmechanismen installiert zu haben. Hinzu kommt, dass 55 Prozent der Mitarbeiter nicht in der Lage sind, Deepfake-Inhalte zuverlässig zu erkennen – ein massives Sicherheitsrisiko.
Die in Artikel 21 geforderte Lieferkettensicherheit wird zudem durch den Übergang zu quantenresistenten Verschlüsselungsverfahren beeinflusst. Experten raten Unternehmen dringend, die Quantenbereitschaft ihrer ICT-Lieferanten zu prüfen. Herkömmliche Verschlüsselungsstandards wie RSA und ECDSA stehen vor der Ablösung. Gefordert sind Bestandsaufnahmen der Algorithmen und die Implementierung hybrider Verschlüsselungsmodi, um den langfristigen Datenschutz zu gewährleisten.
